Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Linux viene creato con una baseline sicura per impostazione predefinita e protezioni a più livelli tra flussi di lavoro di avvio, runtime e aggiornamento. Questo articolo illustra il modello di sicurezza, le funzionalità chiave e le raccomandazioni per la convalida delle impostazioni di sicurezza in Azure Linux.
Annotazioni
Azure Linux 4.0 è ora disponibile in preview ed è strettamente limitato a scopi di valutazione e test. Non è adatto per l'uso in produzione.
Modello di sicurezza
La tabella seguente riepiloga i principi di sicurezza di base che guidano la progettazione di Azure Linux e il modo in cui vengono implementati nella piattaforma:
| Principio di sicurezza | Implementazione in Azure Linux |
|---|---|
| Sicuro per impostazione predefinita | Set di pacchetti minimo, autenticazione SSH solo chiave, firewall abilitato |
| Difesa a più livelli | Controllo di accesso obbligatorio SELinux, protezione avanzata della rete |
| Privilegio minimo | Criteri SELinux, restrizioni delle funzionalità del kernel |
Funzionalità di sicurezza di base
Sicurezza per impostazione predefinita
- Sicurezza Kernel avanzata: con ASLR, stack canary e restrizioni sui puntatori.
- Set di pacchetti minimo: solo i pacchetti essenziali per la funzionalità del sistema operativo principale. Nessun protocollo legacy, strumenti di sviluppo o daemon non essenziali nell'immagine di base.
- Nessuna connessione di rete esterna per impostazione predefinita: firewalld nega tutto il traffico in ingresso ad eccezione di SSH.
- Autenticazione SSH solo chiave: l'autenticazione password è disabilitata.
- Integrità del pacchetto: tutti i pacchetti e i metadati del repository sono firmati da GpG.
Protezioni di runtime
- SELinux: in modalità applicazione. Criterio mirato con pacchetti pre-etichettati.
- Protezione avanzata eBPF: eBPF non privilegiato disabilitato, interprete disabilitato a favore di JIT.
Sicurezza di rete
- firewalld: abilitato per impostazione predefinita con back-end nftables.
- Protezione avanzata sysctl di rete: filtro del percorso inverso rigoroso, reindirizzamenti ICMP disabilitati, cookie SYN abilitati.
- IPv6: abilitato con le impostazioni di protezione avanzata applicate.
Identità e accesso
- SSSD/realmd: disponibile nei repository Azure Linux per scenari di identità ibrida con Active Directory e LDAP.
Cryptography
- FIPS 140-3: moduli crittografici convalidati con un semplice meccanismo di abilitazione.
- Crittografia post-quantistica: ML-KEM supporto dello scambio di chiavi ibride.
- Librerie di crittografia di sistema: le applicazioni possono usare la crittografia a livello di sistema operativo.
Registrazione, controllo e monitoraggio
- auditd: abilitato per impostazione predefinita; i profili delle regole vengono forniti in /usr/share/audit-rules/ e possono essere attivati copiando il profilo necessario in /etc/audit/rules.d/.
- journald: archiviazione persistente con output JSON strutturato.
Integrazioni di analisi delle vulnerabilità
Azure Linux supporta l'integrazione con strumenti comuni di analisi e sicurezza delle vulnerabilità. Per un elenco degli strumenti supportati, vedere Azure soluzioni partner Linux.